I. - Après analyse conjointe de la vulnérabilité ou de l'incident mentionné au I de l'article R. 2321-1-16 avec l'éditeur, l'autorité nationale de sécurité des systèmes d'information notifie à ce dernier le délai dans lequel il informe ses utilisateurs de la vulnérabilité ou de l'incident mentionné au I de l'article R. 2321-1-16. Ce délai ne peut être inférieur à dix jours ouvrables, sauf en cas de risque pour la défense et la sécurité nationale requérant une information des utilisateurs sans délai.

II. - L'éditeur de logiciel informe les utilisateurs du produit affecté par un message d'information comprenant, le cas échéant, toute recommandation que ces derniers peuvent appliquer. Il rend compte à l'autorité nationale de sécurité des systèmes d'information de l'envoi de ce message.